FAQ
Questions fréquentes sur Scanyze — usage, billing, sécurité, support
FAQ — Questions fréquentes
Usage général
Combien de temps prend un scan EASM complet ?
De 30 à 90 minutes selon le profil et la taille de la cible :
- Profil gentle sur 1 domaine simple : ~30 min
- Profil standard sur 1 domaine + sous-domaines (10-50 actifs) : 45-60 min
- Profil aggressive sur un domaine complexe : 60-90 min
Voir Module EASM pour le détail des phases.
Puis-je scanner un domaine que je ne possède pas ?
Le profil gentle est autorisé sur n'importe quelle cible (le débit est suffisamment bas pour ne pas impacter un serveur tiers). Les profils standard et aggressive exigent une vérification de propriété de domaine via challenge DNS TXT.
Pour des raisons éthiques et légales, n'utilisez pas Scanyze pour scanner des cibles que vous n'êtes pas autorisé à tester.
Puis-je scanner des IP / des plages CIDR ?
Oui, vous pouvez créer une cible IP au lieu d'un domaine. Pour les plages, créez une cible par IP ou utilisez l'API en boucle. Le module CIDR scan est en preview Enterprise.
Mon scan reste « pending » depuis 30 minutes, que faire ?
Voir Troubleshooting → Scan stuck.
Le rapport AI est tronqué, manque la moitié des findings
Voir Troubleshooting → Rapport AI tronqué.
Billing
Comment fonctionne le trial gratuit ?
À l'inscription, votre tenant est en plan Trial pendant 14 jours :
- 200 crédits IA offerts
- Toutes les features Pro déverrouillées (sauf SSO et custom branding)
- Aucune carte bancaire requise
À la fin du trial, le compte bascule en Free (50 crédits/mois, 1 cible). Vous pouvez upgrader à tout moment.
Mes crédits IA expirent-ils ?
| Plan | Expiration |
|---|---|
| Free / Trial | Pas de rollover (reset mensuel) |
| Starter, Pro, Business | 6 mois après l'octroi |
| Enterprise | 12 mois |
| Top-ups achetés | Jamais d'expiration tant que non consommés |
Puis-je changer de plan à tout moment ?
Oui. L'upgrade est immédiat, le downgrade prend effet à la fin de la période en cours.
Suis-je remboursé en cas d'annulation en cours de période ?
Non, mais vous gardez accès à toutes les features jusqu'à la fin de la période payée.
Pourquoi le checkout passe par SecuCFO et pas Stripe directement ?
Depuis v0.116.0, Scanyze délègue tous les paiements à SecuCFO, le module de comptabilité interne SecuAAS qui :
- Gère les factures officielles québécoises (numérotation séquentielle, archivage 7 ans)
- Calcule TPS / TVQ correctement selon votre province
- Permet la facturation consolidée pour les MSP qui gèrent plusieurs clients
Le paiement final reste traité par Stripe en backend, mais la facture émise est au nom de 9463-7220 Québec inc.
Quelle devise et quelles taxes sont appliquées ?
- Devise : toujours CAD
- TPS : 5% (711449140 RT0001) — clients QC
- TVQ : 9.975% (1230449518 TQ0001) — clients QC uniquement
- HST : selon province (ON, NB, NS, PEI, NL)
- Hors Canada : pas de taxe canadienne facturée
Sécurité et conformité
Mes données restent-elles au Canada ?
Oui par défaut. Toutes les données client sont stockées dans PostgreSQL Managed OVH BHS (Beauharnois, Québec) + S3 OVH BHS + Redis K8s BHS.
Le seul cas où des données peuvent quitter le Canada est si vous activez explicitement Claude Premium (analyses IA via Anthropic, USA). Sinon, le GPU souverain Qwen3 sur OVH BHS reste utilisé.
Scanyze est-il conforme à la Loi 25 ?
Oui :
- Hébergement Canada (Québec)
- Personne responsable de la protection des RP désignée
- Politique de confidentialité publique
- Droit d'accès, rectification, suppression, portabilité opérationnel
- Évaluation EFRVP réalisée
- Notification incident en 72h
Voir la page complète Sécurité et conformité.
Comment puis-je supprimer mon compte et toutes mes données ?
/settings/delete-account- Confirmation par typage du nom de votre organisation
- Email de confirmation envoyé (lien valide 24h)
- Période de grâce 14 jours
- Suppression définitive (DB + S3) après 14 jours
Conservation 7 ans uniquement des données fiscales (factures), pour conformité avec les exigences fiscales québécoises.
Comment exporter toutes mes données ?
/settings/export — déclenche un export complet (JSON + PDF + CSV) livré par lien S3 sous 24h. Limité à 1 demande / 30 jours.
Scanyze conserve-t-il mon code source si j'utilise le module Code Scanning ?
Non. Le code est cloné dans un répertoire temporaire pendant l'analyse, puis le filesystem est complètement nettoyé à la fin du job. Seuls les findings extraits (avec snippet de code de quelques lignes pour le contexte) sont persistés en base.
Mes mots de passe / secrets PAT Git sont-ils chiffrés ?
Oui, AES-256-GCM avec master key dérivée par tenant via OVH KMS. Voir Sécurité.
Avez-vous une certification SOC 2 / ISO 27001 ?
- SOC 2 Type 2 : audit prévu Q4 2026
- ISO 27001:2022 : plateforme alignée, certification prévue Q1 2027
Contactez security@scanyze.com pour les attestations actuelles.
Limitations
Y a-t-il une limite de taille de repository pour Code Scanning ?
- Plan Pro : repos jusqu'à 1 GB
- Plan Business : repos jusqu'à 5 GB
- Plan Enterprise : pas de limite hard, contact pour les très gros repos (10 GB+)
Le scan d'un monorepo de 5 GB peut prendre 30-60 min en mode standard.
Puis-je scanner un repo privé sans donner de PAT ?
Non, sauf si le repo est sur Forgejo SecuAAS (auth interne). Pour GitHub/GitLab/Bitbucket privés, un PAT avec scope read est nécessaire.
Le pentest IA peut-il vraiment remplacer un pentest manuel ?
Non. Le pentest IA est conçu pour des audits réguliers et reproductibles sur des scénarios standards. Il ne remplace pas un pentest manuel adversarial pour :
- Environnements critiques (banques, infrastructures vitales)
- Recherche de 0-day
- Tests d'ingénierie sociale
- Pentest physique
- Tests sur des comptes utilisateurs réels
Voir Module Pentest IA → Limitations.
Combien de chatbots puis-je tester en parallèle ?
| Plan | Chatbots max | Campagnes parallèles |
|---|---|---|
| Pro | 3 | 1 |
| Business | 10 | 3 |
| Enterprise | -1 | 10 |
L'agent endpoint capture-t-il le contenu de mon trafic réseau ?
Non. L'agent NDR capture uniquement les métadonnées (5-tuple : src/dst IP, ports, protocole, timing, tailles de paquets, flags TCP). Il ne capture jamais le contenu (payload) des paquets.
L'agent endpoint envoie-t-il mes mots de passe / PII détectées ?
Non. Le module PII Discovery détecte localement les patrons de données personnelles (NAS, cartes, etc.) et remonte uniquement le nombre d'occurrences par fichier — jamais les valeurs en clair.
Support
Quel est le délai de réponse du support ?
| Plan | Canal | SLA |
|---|---|---|
| Free / Essentiel | Communauté (forum) | Best effort |
| Starter | 24h ouvrées | |
| Pro | Email + chat | 4h ouvrées |
| Business | Email + chat + tel | 1h ouvrée |
| Enterprise | Account manager dédié | SLA contractuel |
Où signaler un bug ?
- Bugs UI / fonctionnels :
support@scanyze.comou via le bouton « Aide » dans l'app - Bugs sécurité :
security@scanyze.com(PGP key disponible sur/.well-known/security.txt)
Où sont publiées les annonces ?
- Changelog :
/changelogdans l'app - Status page : status.scanyze.com
- Newsletter mensuelle : optin via
/settings/preferences→ newsletter
Où trouver la documentation technique pour les développeurs ?
- Cette doc : secuaas-docs.secuaas.ovh/docs/public/scanyze
- Swagger API : api.scanyze.com/v1/docs
Avez-vous un programme partenaire ?
Oui — programme MSP + programme Reseller. Voir Documentation MSP ou contactez partners@scanyze.com.
À jour pour Scanyze v0.130.x.